Mēs pastāstīsim par lētu un drošu veidu, kā nodrošināt attālināto darbinieku savienojumus, izmantojot VPN, nepakļaujot uzņēmumu reputācijas vai finanšu riskiem un neradot papildu problēmas IT nodaļai un uzņēmuma vadībai.
Attīstoties IT, ir kļuvis iespējams piesaistīt attālinātos darbiniekus arvien lielākam skaitam amatu.
Ja agrāk attālināto darbinieku vidū galvenokārt bija radošo profesiju pārstāvji, piemēram, dizaineri, tekstu autori, tad tagad grāmatvedis, juriskonsults un daudzi citu profesiju pārstāvji var ērti strādāt no mājām, biroju apmeklējot tikai nepieciešamības gadījumā.
Bet jebkurā gadījumā ir nepieciešams organizēt darbu, izmantojot drošu kanālu.
Vienkāršākais variants. Mēs serverī uzstādām VPN, darbiniekam tiek dota pieteikšanās parole un VPN sertifikāta atslēga, kā arī norādījumi, kā datorā iestatīt VPN klientu. Un IT nodaļa savu uzdevumu uzskata par pabeigtu.
Šķiet, ka ideja nav slikta, izņemot vienu: tam jābūt darbiniekam, kurš prot visu konfigurēt pats. Ja mēs runājam par kvalificētu tīkla lietojumprogrammu izstrādātāju, ļoti iespējams, ka viņš tiks galā ar šo uzdevumu.
Taču grāmatvedim, māksliniekam, dizainerim, tehniskajam rakstniekam, arhitektam un daudzām citām profesijām nav obligāti jāsaprot VPN iestatīšanas sarežģītība. Vai nu kādam ir nepieciešams attālināti izveidot savienojumu ar viņiem un palīdzēt, vai arī ierasties personīgi un iestatīt visu uz vietas. Attiecīgi, ja viņiem kaut kas pārstāj darboties, piemēram, lietotāja profila kļūmes dēļ ir pazaudēti tīkla klienta iestatījumi, tad viss ir jāatkārto no jauna.
Daži uzņēmumi nodrošina klēpjdatoru ar jau instalētu programmatūru un konfigurētu VPN programmatūras klientu attālinātam darbam. Teorētiski šajā gadījumā lietotājiem nevajadzētu būt administratora tiesībām. Tādā veidā tiek atrisinātas divas problēmas: darbiniekiem tiek garantēta viņu uzdevumiem atbilstoša licencēta programmatūra un gatavs komunikācijas kanāls. Tajā pašā laikā viņi nevar paši mainīt iestatījumus, kas samazina zvanu biežumu
tehniskā palīdzība.
Dažos gadījumos tas ir ērti. Piemēram, ja jums ir portatīvais dators, jūs varat ērti sēdēt savā istabā dienas laikā un klusi strādāt virtuvē, lai nevienu nepamodinātu.
Kāds ir galvenais trūkums? Tas pats, kas pluss – tā ir mobilā ierīce, kuru var nēsāt līdzi. Lietotājus iedala divās kategorijās: tie, kas dod priekšroku galddatoram, lai iegūtu jaudu un lielu monitoru, un tie, kuriem patīk pārnesamība.
Otrā lietotāju grupa ar abām rokām balso par portatīvajiem datoriem. Saņemot korporatīvo klēpjdatoru, šādi darbinieki ar prieku sāk doties uz kafejnīcām, restorāniem, dodas uz dabu un mēģina no turienes strādāt. Ja tikai tas izdotos, nevis tikai izmantotu saņemto ierīci kā savu datoru sociālajiem tīkliem un citai izklaidei.
Agrāk vai vēlāk uzņēmuma klēpjdators tiek pazaudēts ne tikai kopā ar darba informāciju cietajā diskā, bet arī ar konfigurētu VPN piekļuvi. Ja VPN klienta iestatījumos ir atzīmēta izvēles rūtiņa “Saglabāt paroli”, tad tiek skaitītas minūtes. Situācijās, kad zaudējumi netika atklāti uzreiz, netika nekavējoties informēts atbalsta dienests vai uzreiz netika atrasts īstais darbinieks ar bloķēšanas tiesībām – tas var izvērsties par lielu nelaimi.
Dažreiz palīdz ierobežot piekļuvi informācijai. Taču piekļuves ierobežošana nenozīmē pilnīgu ierīces pazaudēšanas problēmu risināšanu; tas ir tikai veids, kā samazināt zaudējumus, kad dati tiek atklāti un apdraudēti.
Varat izmantot šifrēšanu vai divu faktoru autentifikāciju, piemēram, ar USB atslēgu. Ārēji ideja izskatās laba, taču tagad, ja klēpjdators nonāks nepareizās rokās, tā īpašniekam būs smagi jāstrādā, lai piekļūtu datiem, tostarp piekļūtu caur VPN. Šajā laikā jūs varat bloķēt piekļuvi korporatīvajam tīklam. Un attālinātajam lietotājam paveras jaunas iespējas: uzlauzt vai nu klēpjdatoru, vai piekļuves atslēgu, vai visu uzreiz. Formāli aizsardzības līmenis ir paaugstināts, bet tehniskā atbalsta dienestam nebūs garlaicīgi. Turklāt katram attālinātajam operatoram tagad būs jāiegādājas divu faktoru autentifikācijas (vai šifrēšanas) komplekts.
Atsevišķs skumjš un garš stāsts ir zaudējumu iekasēšana par nozaudētiem vai bojātiem portatīvajiem datoriem (izmesti uz grīdas, izlijuši ar saldu tēju, kafiju un citiem negadījumiem) un pazaudētām piekļuves atslēgām.
Cita starpā klēpjdatorā ir mehāniskas detaļas, piemēram, tastatūra, USB savienotāji un vāks ar ekrānu - tas viss laika gaitā nolietojas tā kalpošanas laiks, deformējas, kļūst vaļīgs un ir jāremontē vai jānomaina (visbiežāk , tiek nomainīts viss klēpjdators).
Nu ko tagad? Ir stingri aizliegts izņemt portatīvo datoru no dzīvokļa un izsekot
pārvietojas?
Kāpēc tad viņi izsniedza klēpjdatoru?
Viens no iemesliem ir tas, ka klēpjdatoru ir vieglāk pārsūtīt. Izdomāsim ko citu, arī kompaktu.
Jūs varat izsniegt nevis klēpjdatoru, bet aizsargātus LiveUSB zibatmiņas diskus ar jau konfigurētu VPN savienojumu, un lietotājs izmantos savu datoru. Bet šī ir arī loterija: vai programmatūras montāža darbosies lietotāja datorā vai nē? Problēma var būt vienkārša nepieciešamo draiveru trūkums.
Jāizdomā, kā organizēt darbinieku sasaisti attālināti, un vēlams, lai cilvēks nepakļautos kārdinājumam klīst pa pilsētu ar korporatīvo portatīvo datoru, bet gan sēž mājās un mierīgi strādā, neriskējot aizmirst vai kaut kur pazaudējot viņam uzticēto ierīci.
Stacionāra VPN piekļuve
Ko darīt, ja jūs nodrošināsiet nevis gala ierīci, piemēram, klēpjdatoru vai jo īpaši ne atsevišķu zibatmiņas disku savienojumam, bet gan tīkla vārteju ar VPN klientu?
Piemēram, gatavs maršrutētājs, kas ietver atbalstu dažādiem protokoliem, kurā jau ir konfigurēts VPN savienojums. Attālinātajam darbiniekam vienkārši jāpieslēdz tam savs dators un jāsāk strādāt.
Kādas problēmas tas palīdz atrisināt?
- Iekārtas ar konfigurētu piekļuvi korporatīvajam tīklam, izmantojot VPN, netiek izņemtas no mājas.
- Vienam VPN kanālam var pievienot vairākas ierīces.
Iepriekš jau rakstījām, ka ir patīkami pārvietoties pa dzīvokli ar klēpjdatoru, taču bieži vien ir vieglāk un ērtāk strādāt ar stacionāro datoru.
Un jūs varat savienot datoru, klēpjdatoru, viedtālruni, planšetdatoru un pat e-lasītāju maršrutētāja VPN — jebko, kas atbalsta piekļuvi, izmantojot Wi-Fi vai vadu Ethernet.
Ja skatās uz situāciju plašāk, tas varētu būt, piemēram, pieslēguma punkts mini birojam, kurā var strādāt vairāki cilvēki.
Šādā aizsargātā segmentā savienotās ierīces var apmainīties ar informāciju, jūs varat organizēt kaut ko līdzīgu failu apmaiņas resursam, vienlaikus nodrošinot normālu piekļuvi internetam, nosūtīt dokumentus drukāšanai uz ārēju printeri utt.
Korporatīvā telefonija! Šajā skaņā ir tik daudz, kas skan kaut kur caurulē! Centralizēts VPN kanāls vairākām ierīcēm ļauj savienot viedtālruni, izmantojot Wi-Fi tīklu, un izmantot IP telefoniju, lai zvanītu uz īsajiem numuriem korporatīvajā tīklā.
Pretējā gadījumā jums būs jāveic mobilie zvani vai jāizmanto ārējas lietojumprogrammas, piemēram, WhatsApp, kas ne vienmēr atbilst uzņēmuma drošības politikai.
Un tā kā mēs runājam par drošību, ir vērts atzīmēt vēl vienu svarīgu faktu. Izmantojot aparatūras VPN vārteju, varat uzlabot savu drošību, izmantojot jaunas ieejas vārtejas vadības funkcijas. Tas ļauj palielināt drošību un daļu satiksmes aizsardzības slodzes novirzīt uz tīkla vārteju.
Kādu risinājumu Zyxel var piedāvāt šim gadījumam?
Apsveram ierīci, kuru vajadzētu izsniegt pagaidu lietošanai visiem darbiniekiem, kuri var un vēlas strādāt attālināti.
Tāpēc šādai ierīcei jābūt:
- lēti;
- uzticams (lai netērētu naudu un laiku remontam);
- pieejams iegādei mazumtirdzniecības tīklos;
- viegli uzstādīt (paredzēts lietošanai bez īpašas zvanīšanas
apmācīts speciālists).
Neizklausās ļoti reāli, vai ne?
Tomēr šāda ierīce pastāv, tā patiešām pastāv un ir bezmaksas
- Zyxel ZyWALL VPN2S
VPN2S ir VPN ugunsmūris, kas ļauj izmantot privātu savienojumu
punkts-punkts bez sarežģītas tīkla parametru konfigurācijas.
1. attēls. Zyxel ZyWALL VPN2S izskats
Īsa ierīces specifikācija
Aparatūras funkcijas
10/100/1000 Mbps RJ-45 porti
3 x LAN, 1 x WAN/LAN, 1 x WAN
USB porti
2 x USB 2.0
Nav ventilatora
Jā
Sistēmas jauda un veiktspēja
SPI ugunsmūra caurlaidspēja (Mb/s)
1.5 Gbps
VPN caurlaidspēja (Mb/s)
35
Maksimālais vienlaicīgu sesiju skaits. TCP
50000
Максимальное число одновременных туннелей IPsec VPN [5]
20
Pielāgojamas zonas
Jā
IPv6 atbalsts
Jā
Maksimālais VLAN skaits
16
Galvenās programmatūras funkcijas
Vairāku WAN slodzes līdzsvars/kļūmjpārlēce
Jā
Virtuālais privātais tīkls (VPN)
Jā (IPSec, L2TP, izmantojot IPSec, PPTP, L2TP, GRE)
VPN klients
IPSec/L2TP/PPTP
Satura filtrēšana
1 gads bez maksas
Ugunsmūris
Jā
VLAN/interfeisa grupa
Jā
Joslas platuma pārvaldība
Jā
Notikumu žurnāls un uzraudzība
Jā
Mākoņu palīgs
Jā
Tālvadība
Jā
Piezīme. Tabulas dati ir balstīti uz OPAL BE mikrokodu 1.12 vai jaunāku
jaunāka versija.
Kādas VPN opcijas atbalsta ZyWALL VPN2S
Faktiski no nosaukuma ir skaidrs, ka ZyWALL VPN2S ierīce galvenokārt ir
izstrādāts, lai savienotu attālos darbiniekus un mini filiāles, izmantojot VPN.
- L2TP Over IPSec VPN protokols tiek nodrošināts galalietotājiem.
- Lai savienotu mini birojus, tiek nodrošināta saziņa, izmantojot vietņu IPSec VPN.
- Turklāt, izmantojot ZyWALL VPN2S, varat izveidot L2TP VPN savienojumu ar
pakalpojumu sniedzējs drošai piekļuvei internetam.
Jāpiebilst, ka šis dalījums ir ļoti nosacīts. Piemēram, jūs varat
attālais punkts konfigurē Site-to-Site IPSec VPN savienojumu ar vienu
lietotājs perimetrā.
Protams, tas viss, izmantojot stingrus VPN algoritmus (IKEv2 un SHA-2).
Izmantojot vairākus WAN
Attālinātajam darbam galvenais, lai būtu stabils kanāls. Diemžēl ar vienīgo
To nevar garantēt ar sakaru līniju pat no visuzticamākā pakalpojumu sniedzēja.
Problēmas var iedalīt divos veidos:
- ātruma samazināšanās — ar to palīdzēs Multi-WAN slodzes līdzsvarošanas funkcija
stabila savienojuma uzturēšana vajadzīgajā ātrumā; - kļūme kanālā - šim nolūkam tiek izmantota Multi-WAN kļūmjpārlēces funkcija
defektu tolerances nodrošināšana, izmantojot dublēšanas metodi.
Kādas aparatūras iespējas ir šim nolūkam:
- Ceturto LAN portu var konfigurēt kā papildu WAN portu.
- USB portu var izmantot, lai pievienotu 3G/4G modemu, kas nodrošina
rezerves kanāls mobilo sakaru veidā.
Paaugstināta tīkla drošība
Kā minēts iepriekš, šī ir viena no galvenajām speciālās izmantošanas priekšrocībām
centralizētas ierīces.
ZyWALL VPN2S ir SPI (Stateful Packet Inspection) ugunsmūra funkcija, lai cīnītos pret dažāda veida uzbrukumiem, tostarp DoS (Denial of Service), uzbrukumiem, izmantojot viltotas IP adreses, kā arī nesankcionētu attālo piekļuvi sistēmām, aizdomīgu tīkla trafiku un pakotnes.
Kā papildu aizsardzība ierīcei ir Satura filtrēšana, lai bloķētu lietotāju piekļuvi aizdomīgam, bīstamam un svešam saturam.
Ātra un vienkārša 5 pakāpju iestatīšana ar iestatīšanas vedni
Lai ātri izveidotu savienojumu, ir ērts iestatīšanas vednis un grafiskais
saskarne vairākās valodās.
2. attēls. Viena no iestatīšanas vedņa ekrāniem piemērs.
Ātrai un efektīvai pārvaldībai Zyxel piedāvā pilnu attālās administrēšanas utilītu paketi, ar kuras palīdzību jūs varat viegli konfigurēt VPN2S un to pārraudzīt.
Iespēja dublēt iestatījumus ievērojami vienkāršo vairāku ZyWALL VPN2S ierīču sagatavošanu pārsūtīšanai attāliem darbiniekiem.
VLAN atbalsts
Neskatoties uz to, ka ZyWALL VPN2S ir paredzēts attālinātam darbam, tas atbalsta VLAN. Tas ļauj palielināt tīkla drošību, piemēram, ja ir pieslēgts individuāla uzņēmēja birojs, kurā ir viesu Wi-Fi. Standarta VLAN funkcijas, piemēram, apraides domēnu ierobežošana, pārraidītās trafika samazināšana un drošības politiku piemērošana, ir pieprasītas korporatīvajos tīklos, taču principā tās var izmantot arī mazos uzņēmumos.
VLAN atbalsts noder arī atsevišķa tīkla organizēšanai, piemēram, IP telefonijai.
Lai nodrošinātu darbību ar VLAN, ZyWALL VPN2S ierīce atbalsta IEEE 802.1Q standartu.
Summējot
Lai pazaudētu mobilo ierīci ar konfigurētu VPN kanālu, ir nepieciešami citi risinājumi, nevis korporatīvo klēpjdatoru izplatīšana.
Kompaktu un lētu VPN vārteju izmantošana ļauj ērti organizēt attālināto darbinieku darbu.
ZyWALL VPN2S modelis sākotnēji bija paredzēts attālināto darbinieku un mazu biroju savienošanai.
Noderīgas saites
→
→
→
→
→
Avots: www.habr.com
